什麼是 NIST 網路安全框架?
國家標準暨技術研究院(National Institute of Standards and Technology,通常稱為 NIST)是隸屬於美國商務部的機構,NIST 擁有眾多職責,其中一項便是為資訊系統提供網路安全指導方針。
NIST 網路安全框架是這項工作的基石,該框架於 2014 年根據美國總統巴拉克.歐巴馬 (Barack Obama) 的行政命令頒布。而美國總統唐納.川普 (Donald Trump) 於 2017 年頒布後續行政命令,要求所有聯邦政府機構及其供應鏈中的所有實體皆必須遵循 NIST 網路安全框架。
「藉由推進測量科學、標準及技術來促進美國的創新與產業競爭力,進而提升經濟安全並改善生活品質。」
NIST 網路安全框架最初於 2004 年制定,旨在改善美國的關鍵基礎設施安全,而所謂關鍵基礎設施的定義即指國家不可或缺的資產、系統及功能。該框架定義了 16 個關鍵基礎設施領域,包含:
- 化學
- 商業設施
- 通訊
- 關鍵製造業
- 水壩
- 國防工業基地
- 緊急服務
- 能源(包含公用事業)
- 金融服務
- 糧食與農業
- 政府設施
- 醫療保健公司與公共衛生
- 資訊科技
- 核子反應爐、材料、廢料
- 運輸系統
- 水資源及廢水系統
美國政府隨後於 2017 年將 NIST 網路安全框架納入強制標準,用來管制所有聯邦資訊系統的安全。
儘管只有聯邦機構受到強制規範,但仍有非聯邦機構與服務提供者廣泛運用 NIST 網路安全框架提出的最佳實務、標準及建議,藉此識別、偵測及回應網路攻擊。
此外,該框架提出的指導方針也可用於預防攻擊並從中復原。非聯邦機構運用 NIST 網路安全框架可確保系統達到最佳安全狀態,並向大眾證明其對安全的承諾。
NIST 網路安全框架由三個部分組成──框架核心要素、實施層級及設定檔。其中每個部分又細分為五個網路安全領域:
- 識別
- 保護
- 偵測
- 回應
- 復原
該框架針對這五個領域中降低網路安全風險的具體活動提供了詳細說明。各類別及子類別均包含安全實務及事故回應計畫的最佳實務說明。NIST 網路安全框架亦有提供順利從勒索軟體攻擊中復原的指引。
開始使用 NIST 網路安全框架
NIST 網路安全框架在美國是相當廣受使用的網路安全框架,然而實施該框架需付出一定努力。如要開始使用該框架,首先要深入檢視其五大基礎功能。
- 識別 Identify
識別和評估系統、資產、資料和資源的網路安全風險。此項目包括: - 保護 Protect
評估現有的網路安全程序和流程,以確保為組織的資產提供充分的保護。此項目包括: - 偵測 Detect
偵測功能定義、開發和實施適當的網路安全活動,以快速識別威脅和漏洞。此項目包括: - 回應 Respond
此功能引導組織對網路攻擊或識別威脅的計劃進行回應與評估。此項目包括: - 復原 Recover
復原功能可協助組織評估其網路安全策略,以確保他們有計劃恢復和修復網路攻擊造成的損害。此項目包括:
- 資產管理 (ID.AM)
- 商業環境 (ID.BE)
- 治理 (ID.GV)
- 風險評估 (ID.RA)
- 風險管理策略 (ID.RM)
- 供應鏈風險管理 (ID.SC)
- 意識與訓練 (PR.AT)
- 資料安全 (PR.DS)
- 身分管理、驗證及存取控制 (PR.AC)
- 資訊保護流程與程序(PR.IP)
- 維護 (PR.MA)
- 保護技術 (PR.PT)
- 異常現象與事件 (DE.AE)
- 偵測流程 (DE.DP)
- 安全持續監控 (DE.CM)
- 分析 (RS.AN)
- 通訊 (RS.CO)
- 改善 (RS.IM)
- 減緩 (RS.MI)
- 回應計畫 (RS.RP)
- 通訊 (RC.CO)
- 改善 (RC.IM)
- 復原計畫 (RC.RP)
NIST 網路安全框架範例
除了 NIST 網路安全框架外,NIST 還有製作超過 200 份針對特定網路安全風險管理領域的特別發佈,內容涵蓋如風險評估、身分存取控制、管理保護技術及回應網路安全事件或事故。下列為經常使用的 NIST 網路安全框架發佈範例。
NIST 特別發佈 (SP) 800-30
NIST SP 800-30 為《風險評估指南》,提供了有關網路風險評估與管理的指導,其內容包含根據產業建議及標準制定的控制措施與控制基準。NIST SP 800-30 亦能協助組織採用便於高階領導團隊理解的方式呈現網路風險。
NIST 特別發佈 (SP) 800-37
NIST SP 800-37 為《適用於資訊系統與組織的風險管理框架:針對安全與隱私的系統生命週期方法》,說明了風險管理框架 (Rish Management Framework,RMF) 的內容,亦有提供將 RMF 應用於資訊系統與組織的指導方針。NIST SP 800-37 包含適用於管理安全與隱私風險的詳細六步驟流程。
NIST 特別發佈 (SP) 800-53
NIST SP 800-53 為《適用於資訊系統與組織的安全及隱私控制措施》,提供了實施 NIST 網路安全框架所需的控制措施。NIST SP 800-53 包含超過 1,000 項分屬於二十個不同控制系列的控制措施。
實施 NIST 800-53 所規定的安全控制措施,組織便能滿足《美國聯邦資訊安全管理法》(FISMA) 的安全要求。此外,實施 NIST 800-53 控制措施亦能滿足《聯邦資訊處理標準發佈 200》(FIPS 200) 的要求,而這些要求對於所有聯邦機構及其供應鏈中的實體皆為強制規範。
NIST 特別發佈 (SP) 800-122
NIST SP 800-122 為《個人識別資訊 (Personally Identifiable Information,PII) 機密保護指南》,提供了處理 PII(個人識別資訊)的建議,並可針對識別 PII 提供實用、情境化的指導。
NIST SP 800-122 亦有提供指導,協助確定各種情況下應該採取何種保護等級,並建議相應的保護措施。此外,NIST SP 800-122 還有為制定適用於涉及 PII 外洩的回應計畫提供指引。
NIST 特別發佈 (SP) 800-125
NIST SP 800-125 為《完整虛擬化技術安全指南》,提供了解決完整伺服器及桌面虛擬化技術相關安全挑戰的建議。NIST 800-125 定義了供政府使用的虛擬化技術,並就保護強化及佈建虛擬系統的要求提供概述。
NIST 特別發佈 (SP) 800-171
根據 NIST SP 800-171《保護非聯邦系統及組織中的受控未分類資訊》,所有與美國國防部 (DoD) 簽約的組織皆須強制遵循此規範,對象涵蓋作為 DoD 承包商並處理、儲存或傳輸受控未分類資訊 (CUI) 的所有非聯邦資訊系統及組織。根據 NIST SP 800-171 所規範,這些實體必須達到《國防聯邦採購法規補充條款》(DFARS) 訂定的最低安全標準,才能保留其 DoD 合約。
NISTIR 8170
另一項 NIST 發佈 NISTIR 8170 為《聯邦機構使用網路安全框架的方法》,針對使用 NIST 網路安全框架的八種方法提供了詳細說明。
- 藉由通用易懂的風險術語溝通,整合企業與網路安全風險管理。
- 使用能夠整合要求並排列優先順序的架構來管理網路安全要求。
- 透過共通且簡明扼要的語言來傳遞要求與優先順序,整合與協調網路安全及採購流程。
- 使用標準化且簡單直接的測量尺度與自我評估準則來評估組織的網路安全狀況。
- 藉由確定哪些成果需要使用通用控制措施,並將相關工作與責任分配給各個成果來管理網路安全計畫。
- 使用標準組織結構來維持對網路安全風險的全面理解。
- 使用共通且易於理解的結構來報告網路安全風險。
- 透過全面協調網路安全要求,為調適流程提供指導資訊。
NIST 網路安全框架常見問題集
NIST 網路安全框架如何提升安全保障?
NIST 網路安全框架透過提供指導來協助組織增強安全意識與準備,藉此保護關鍵系統及資料。這個靈活的模型可協助組織更好地執行下列內容來支援安全改善:
- 向整個組織傳達新要求
- 建立新的網路安全計畫與要求
- 建立設定檔來確定目前已實施的網路安全措施等級
- 識別新的潛在網路安全標準與原則來提升網路安全
NIST 網路安全框架是否設有相關認證?
雖然整體 NIST 網路安全框架並未設有認證,但設有針對 NIST 網路安全實施的認證。這項認證可證明組織具備運用 NIST 最佳實務與標準的能力,來實施強健網路安全所需的結構、治理與原則。
NIST 網路安全框架是由哪三個部分組成?
NIST 網路安全框架由三個部分組成:核心、實施及設定檔。其目的在於為組織的網路安全風險提供策略觀點。
「核心」是實現不同安全等級所需的一組活動,而這些活動共分為四個類別。
- 功能
這五項功能涵蓋了大多數網路安全功能,分別為識別、偵測、保護、回應及復原。 - 類別
每項功能對應的類別會指定所需的任務(例如實施軟體更新、安裝防毒與防惡意軟體程式及制定存取控制原則來實行「保護」功能)。 - 子類別
這些子類別會指定與各類別相關的任務(例如開啟系統的自動更新功能來支援「實施軟體更新」類別)。 - 資訊來源
這份支援文件說明了如何執行各項功能、類別及子類別中設定的任務。
NIST 網路安全框架實施的部分由四個層級組成,這些層級說明了組織實施 NIST 控制措施的程度,及其網路安全風險管理實務對指導方針的遵循程度。層級越高,即表示該組織的遵循程度越高。
- 第一層級──部分實施
位處第一層級的組織尚未擁有網路安全協調機制或流程。第一層級組織並未將網路安全視為優先事項,這通常是因為時間、員工或預算不足所致。 - 第二層級──風險知情
位處 NIST 網路安全框架第二層級的組織已對某些風險有所認識,並計畫對其做出回應來滿足法規遵循要求。然而,儘管已付出努力,第二層級組織仍未能及時察覺或解決所有的安全問題。 - 第三層級──重複執行
第三層級組織擁有具備明確定義且能夠定期重複執行的網路安全流程。這些組織有高階主管的支援,能夠實施風險管理及網路安全最佳實務。達到第三層級的組織已做好充分準備來處理網路安全風險及威脅,並能夠識別與補救環境中的漏洞。 - 第四層級──調整適應
位處 NIST 網路安全框架最高層級,也就是第四層級的組織會主動實施並升級網路安全措施。這些組織會運用進階的調適型網路安全實務來持續評估風險行為或事件,從而協助在威脅發生前做出保護或調適。
NIST 網路安全框架設定檔說明了組織目前的網路安全措施,並協助定義策略安全路徑圖的要求。這些設定檔旨在協助組織識別漏洞並向更高的實施層級邁進。設定檔亦有將功能、類別及子類別與組織的要求、風險忍受度及資源進行協調。
什麼是 NIST 特別發佈?
NIST 特別發佈能夠提供各領域的詳細規範,常用來釐清某個主題的內容。NIST 擁有數百份特別發佈,內容涵蓋指導方針、建議及參考資料,並可分為三個類別:
遵循 NIST 網路安全框架是否為強制規範?
聯邦機構及任何屬於聯邦機構供應鏈的實體皆須遵循此規範,其他實體則是建議遵循,但並非強制規範。
NIST SP 800-53 與 FISMA 有什麼關聯?
遵循 NIST SP 800-53《適用於資訊系統與組織的安全及隱私控制措施》,有助於組織透過九步驟檢查清單來滿足《美國聯邦資訊安全管理法》(FISMA) 的要求。
- 將需要保護的資料與資訊系統分類。
- 為保護該資訊所需的最低控制措施制定適用的安全控制基準。
- 評估安全控制措施,藉此確定完善基準控制措施的程度,並確保其有正確實施、如預期運作並滿足組織的安全要求。
- 將基準控制措施的設計、開發及實施細節記錄於安全計畫中。
- 實施安全控制。
- 監控已實施控制措施的效能。
- 依據對安全控制措施的評估來確定風險。
- 確定已識別風險皆處於可接受範圍後,再授權資訊系統進行處理。
- 持續監控資訊系統及環境中的安全控制措施,藉此管理其有效性、系統或環境的變化,以及法規遵循的情形。
ISO 27001 與 NIST 網路安全框架有什麼差別?
NIST 與 ISO 27001 有三個不同之處:
- 認證
- 費用
- 適用情況
- NIST 網路安全框架屬於無需外部認證的自我認證框架。
- ISO 27001 會依據第三方稽核提供全球認可的認證。
- NIST 網路安全框架可免費使用。
- 組織需繳交費用才能存取 ISO 27001 文件。
- NIST 網路安全框架對於要建立網路安全策略、解決特定漏洞或回應資料外洩事件的組織而言是最佳選擇。
- ISO 27001 對於擁有成熟網路安全計畫,並追求 ISO 認證來加強安全可信度的組織而言是最佳選擇。
NIST 網路安全框架:用於提升安全的倍數增效工具
NIST 網路安全框架除了提供無可比擬的安全指導外,還能協助組織遵循許多其他安全與隱私框架,例如國際標準化組織的 ISO 27001 及《健康保險可攜與責任法》(HIPAA)。
NIST 網路安全框架亦用作於其他規章的基礎,例如《支付卡產業資料安全標準》(PCI DSS)、《沙賓法案》(SOX)、《紐約州金融服務署網路安全要求規範》(NYDFS 23 NYCRR Part 500) 及《美國保險監理官協會 (NAIC) 示範法》(National Association of Insurance Commissioners Model Law Act)。
有許多組織受益於 NIST 網路安全框架。該框架不僅有提供一組能夠提升安全並增強網路韌性的詳盡指導方針,而且 NIST 還盡職盡責地使其保持在最新狀態。NIST 網路安全框架自 2014 年推出後便一直持續更新,藉此反映科技與威脅態勢的變化。
